En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Alguien ha creado un RBAC ClusterRoleBinding que hace referencia al system:controller:clusterrole-aggregation-controller ClusterRole predeterminado. Este ClusterRole predeterminado tiene el verbo escalate, que permite a los sujetos modificar los privilegios de sus propios roles, lo que permite la apropiación de privilegios. Para obtener más información, consulta el mensaje de registro de esta alerta.
Event Threat Detection es la fuente de esta detección.
Cómo responder
Para responder a esta observación, sigue estos pasos:
- Revisa cualquier
ClusterRoleBindingque haga referencia a lasystem:controller:clusterrole-aggregation-controllerClusterRole. - Revisa las modificaciones que se hayan hecho en la
system:controller:clusterrole-aggregation-controllerClusterRole. - Determina si hay otros signos de actividad maliciosa por parte de la entidad que creó el
ClusterRoleBindingen los registros de auditoría de Cloud Logging.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.